支付宝内鬼泄密 20G海量用户信息被盗卖
2013年11月27日,从事电商工作的张建因“涉嫌非法获取公民个人信息罪”,而被杭州市公安局西湖分局刑事拘留,羁押于杭州市三墩镇振华路看守所。
张建案发,由李明(音)牵出。李明系阿里巴巴旗下支付宝的前技术员工,其利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明伙同两位同伙,随后将用户信息多次出售予电商公司、数据公司。
经阿里巴巴廉正部查悉,下载支付宝用户资料的行径或为李明所为,并在杭州报案。杭州警方以该市翠苑派出所为主体,将上述四人予以控制。犯罪嫌疑人张建系李明团伙的第一个“客户”,其以500元的代价,从李明处购得3万条支付宝用户信息。
据李明等供述,支付宝用户的最大买家系服装类电商公司凡客诚品,其花重金从李明团伙手中购得支付宝用户资料1000万条。不过,一位在李明被取保候审后与之有过接触的人士表示,“凡客诚品之说,仅仅是李明的供述,这不排除有作假的可能性,凡客诚品有无实际购买,最终应由警方认定。”1月2日晚间,凡客诚品一位副总裁向经济观察本报表示:“不太清楚这件事,没听说过。”公司公关总监焦宏宇表示,“如果警方需要,我们会积极配合。”
支付宝方面则在承认确有内部员工盗卖用户信息案的同时,不愿发表更多意见。
截至发稿,该案仍在侦破中,翠苑派出所负责刑事案件的知情警官陈伟(音)表示不便透露案件进展。目前,张建、李明等处于取保候审状态。1月2日晚,记者拨通张建电话,其表示在警方正式处理方案出来前,他不愿对此事再有提及。
“内鬼”盗卖
2010年,张建在杭州某公司从事电商工作,负责品牌运营和推广。因工作关系,结识了前支付宝员工李明,双方开始有了“生意”上的合作。在一次合作中,李明欠下张建500元人民币的酬劳。
最终,这500元未发生实际支付,经双方协商,李明向张建提供3万条目标消费者信息作为“冲账”。也就是说,张建仅以“500元”为代价,就从李明处“购”得了3万条支付宝用户信息。
张建所购的支付宝用户资料中,包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,从这些定位精准的用户信息中,张建掌握了目标消费群体的具体信息。
张建是李明的第一个“主顾”。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。
李明下载支付宝用户信息后,伙同两位阿里巴巴系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。据一位在李明被取保候审后与其有过接触的人士透露,李明团队对警方承认,支付宝用户信息被其团队多次出售给多家电商公司、数据公司,并从中获得了经济利益,其中最大的买家系凡客诚品,该公司曾一次性购买支付宝用户信息1000万条。
1月2日晚间,凡客诚品一位副总裁向经济观察报表示,他对此案不清楚,也“没听说过”。凡客诚品公关总监焦宏宇亦表示她暂未听闻,问询过公司法务部门后,她向经济观察报表示:“我们暂时没接到警方的问询记录,如果警方有需要,我们会积极配合。”
上述接近李明的人士强调称,“目前案件仍在侦查阶段,且犯罪嫌疑人亦不排除供述造假的可能性。凡客诚品是否实际发生过向李明团队购买支付宝用户信息的行为,最终需要警方的认定,警方的侦破对象中是否包括凡客诚品,也不得而知。就目前而言,不能武断地认为凡客诚品有购买支付宝用户信息的行为。”
张建的案发,由李明供出,而将李明交给警方的,则是阿里巴巴的廉正部。该部门由律师、注册会计师和退役警察组成,旨在调查阿里巴巴内部是否存在违反公司纪律的情况。事实上,阿里巴巴在对待“内鬼”方面,一向是从不姑息。2012年初,阿里巴巴廉正部发现聚划算上一家团购业务指定运行商“爱婚婚”存在不正常交易,该公司仅上线8个月,就参加过聚划算200次以上的团购活动。调查后发现,该公司其实是由一位阿里云员工、一位淘宝网员工和一名聚划算员工合资组建的,故而其团购活动被“自己人”特意关照了。几名“内鬼”的过失被记在了聚划算总经理阎利珉的账上,后者因此被阿里巴巴免职。